Zgodnie z treścią art. 223 § 1 kodeksu pracy, pracodawca ma prawo monitorować służbową pocztę elektroniczną, z której korzysta pracownik, w przypadkach, gdy taka forma kontroli jest niezbędna do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy.
Kontrola służbowej poczty elektronicznej pracowników może zatem odbywać się wyłącznie we wskazanym przez kodeks pracy celu; ponadto wymaga wykazania przez pracodawcę, że nie istnieją inne możliwości zapewnienia pełnego wykorzystania czasu pracy przez pracowników oraz właściwego użytkowania narzędzi pracy.
Taka forma kontroli będzie więc uzasadniona w szczególności, gdy były już stosowane inne metody w celu zapewnienia efektywnej organizacji czasu pracy, które okazały się nieskuteczne.
Co do zasady wprowadzenie monitoringu poczty elektronicznej powinno zostać poprzedzone spełnieniem przez pracodawcę wymagań wynikających z kodeksu pracy. Przede wszystkim cele, zakres oraz sposób zastosowania monitoringu należy ustalić w układzie zbiorowym pracy lub w regulaminie pracy albo w obwieszczeniu (w zależności od tego, czy pracodawca jest objęty układem zbiorowym pracy lub obowiązany do ustalenia regulaminu pracy). O zamiarze stosowania monitoringu poczty elektronicznej pracownicy powinni zostać poinformowani nie później niż na 2 tygodnie przed jego uruchomieniem. Każdy pracownik przed jego dopuszczeniem do pracy powinien również otrzymać na piśmie stosowną informację o tym, że jego korespondencja służbowa będzie podlegała monitoringowi (zob. art. 222 i art. 223 § 1 Kodeksu pracy). Monitoring korespondencji elektronicznej powinien również być realizowany w sposób, który nie spowoduje naruszenia dóbr osobistych pracownika. Należy jednak wspomnieć, że interes pracodawcy w stosowaniu również ukrytego monitoringu może mieć charakter nadrzędny w przypadku popełniania przez pracownika czynów na szkodę pracodawcy, w tym przestępstw, co wynika z wyroku Europejskiego Trybunału Praw Człowieka (zob. wyrok z dnia 17.10.2019 r. w sprawie López Ribalda i inni przeciwko Królestwu Hiszpanii).
Pracodawca poza kwestiami związanymi ze stosowaniem samego monitoringu poczty elektronicznej, może określić także zasady korzystania z poczty służbowej. Jedna z takich reguł może dotyczyć zakazu wykorzystywania służbowej poczty elektronicznej w celach prywatnych. W tym zakresie istotne jest aby pracownicy posiadali wiedzę odnośnie wprowadzenia takich zasad. Pracodawca powinien zatem podjąć odpowiednie działania edukacyjne wobec pracowników, którzy korzystają ze służbowej poczty elektronicznej, tak aby mieli oni świadomość według jakich reguł należy używać służbowych e-maili i jakie ewentualne konsekwencje mogą ich spotkać za nieprzestrzeganie przyjętych norm (por. wyrok Sądu Rejonowego w Toruniu IV Wydział Pracy i Ubezpieczeń Społecznych, z dnia 28.12.2018 r. w sprawie o sygn. akt IV P 364/18).
Kolejne, istotne zagadnienie stanowią zasady bezpiecznego korzystania ze służbowej skrzynki e-mail. Należy pamiętać, że korzystanie z poczty elektronicznej (zarówno służbowej, jak również prywatnej) wiąże się z potrzebą należytego zabezpieczenia stacji roboczej (komputera) przed zewnętrznymi zagrożeniami (jak działania hakerów, złośliwe oprogramowanie). Obowiązek zapewnienia stosownego oprogramowania (np. antywirusowego) w praktyce będzie należał do pracodawcy. Niemniej jednak, istotne aby pracownicy pozostawali świadomi konieczności stosowania zabezpieczeń. Konieczność określenia zasad i prowadzenia działań edukacyjnych nie wynika wyłącznie z kodeksu pracy, czy orzecznictwa sądów. Zgodnie z treścią art. 24 RODO administrator danych osobowych (czyli w tym wypadku pracodawca) powinien bowiem wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie obowiązującymi przepisami. Do wspomnianych środków w szczególności zaliczyć należy polityki i regulaminy opisujące zasady przetwarzania danych osobowych, a także instrukcje zawierające konkretne wytyczne (min. w jaki sposób krok po kroku obchodzić się z otrzymywanymi wiadomościami).
Warto również, aby działania pracodawcy (będącego zarazem administratorem danych osobowych) obejmowały także przeszkolenie pracowników z podstawowych zagadnień dotyczących cyberbezpieczeństwa.
Świadomość odnośnie zagrożeń takich jak: spam (niezamówione wiadomości zawierające m.in. reklamy różnych usług i produktów), wirusy, trojany, ransomware (złośliwe oprogramowanie szyfrujące), phishing (atak, którego celem jest wyłudzenie poufnych danych użytkownika) może okazać się wysoce przydatna, gdyż stosowane zabezpieczenia techniczne w praktyce nie wystarczą dla uniknięcia instalacji złośliwego oprogramowania.
Dużym zagrożeniem jest brak ostrożności samego użytkownika podczas korzystania z poczty elektronicznej. Dlatego przed otworzeniem wiadomości należy przede wszystkim zastanowić się czy znamy nadawcę wiadomości, tu warto zwrócić uwagę na nazwę adresata i czy posługuje się on pocztą firmową, czy może powszechnie dostępną. Należy także zwrócić uwagę na tytuł maila (np. czy nie zawiera literówek, informacji o wygranej, otrzymanym spadku, itp.). Szczególną uwagę należy zwrócić czy do wiadomości załączony jest załącznik. Brak znajomości adresata, posługiwanie się przez adresata ogólnodostępną pocztą elektroniczną, niepoprawnie gramatycznie skonstruowany tytuł i załącznik zwiększają ryzyko, że wiadomość zawiera szkodliwe oprogramowanie (wirusy). Pochodzenie wiadomości warto też sprawdzić przyglądając się jej nagłówkom, gdyż zawierają one informacje o drodze danego e-maila, jaką przebył od nadawcy na serwery pocztowe odbiorcy.
Stosowanie oprogramowania antywirusowego w dzisiejszych czasach jest standardem i poczta przychodząca powinna być poddawana analizie wykonywanej przez takie programy. Niemniej jednak technologia bywa zawodna. W efekcie czujność i przezorność pracowników może okazać się szansą na uniknięcie konsekwencji.